[Windows 7-64 bit] Externe Festplatte Aktivität bei längerer Nichtnutzung des PC

[adlol]

Hallo

Wenn ich längere Zeit nicht am PC bin und er halt läuft, bemerke ich immer, dass eine der Externen Festplatten immer aktiv ist (licht blinkt) habe schon einen Malwarebytes-Scan gemacht und Funde gelöscht.

Es besteht jedoch die Möglichkeit das sich noch weitere Malware darauf befindet, da ich vor einiger Zeit die PC Spiele Sammlung eines Freundes kopiert habe

gruß

[Der Leo]

Hallo,

bitte alle Logs mit Funden hier File-Upload.net - Ihr kostenloser File Hoster!hochladen und den Download Link Posten.

Welches Anti Virenprogramm verwendest du?

[adlol]

der upload bei file-upload geht gerade nicht.

ich kopiere den malwarebytes log hier rein:

Zitat:

Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6878

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

17.06.2011 18:26:31
mbam-log-2011-06-17 (18-26-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (G:\|)
Durchsuchte Objekte: 283980
Laufzeit: 45 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

edit: soll ich noch einen anderen scan machen? hijackthis hatte auch nichts gefunden.

Virenprogramm ist G Data. Neulich hatte es "rumgezickt" der Virenwächter ließ sich nicht starten. Es war die 2010 version, daraufhin habe ich diese version auf umwegen deinstallieren können. Die normale und Windowsdeinstallation ging nicht. Deshalb lud ich mir die 2011 version herunter und installierte diese, welche dann auch die alte Version deinstallierte. War erfolgreich und das Virenprogramm funktioniert ohne Probleme. Auch dort hat ein Scan nichts gefunden.

[Der Leo]

Zitat:

habe schon einen Malwarebytes-Scan gemacht und Funde gelöscht.

Dein Log ist Sauber. Ich wollte die Logs indem Viren gefunden und gelöscht worden.

[adlol]

achso.. tschuldigung ...

Zitat:

Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6851

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

14.06.2011 18:54:10
mbam-log-2011-06-14 (18-54-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|)
Durchsuchte Objekte: 464352
Laufzeit: 3 Stunde(n), 20 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
g:\$RECYCLE.BIN\s-1-5-21-872893352-4101474023-3368087181-1000\$RGN5IGH.dll (Riskware.Tool.CK) -> Quarantined and deleted successfully.
g:\$RECYCLE.BIN\s-1-5-21-872893352-4101474023-3368087181-1000\$RI3N0G5.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
g:\tristans spiele\BF2\mods\stats\Stats.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
g:\tristans spiele\Spiele\kopieren&spielen\battleifled 2\mods\stats\Stats.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6485

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

03.06.2011 23:47:47
mbam-log-2011-06-03 (23-47-47).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 115724
Laufzeit: 1 Stunde(n), 9 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
g:\tristans spiele\Spiele\crack_ger_uncut_patch\Crack\loader.dll (Riskware.Tool.CK) -> Quarantined and deleted successfully.
g:\tristans spiele\Spiele\herr der ringe 100%\fff-ea144.exe (Trojan.Orsam) -> Quarantined and deleted successfully.

gruß

[Der Leo]

Hm also Cracks sehen wir hier nicht so gerne. Da du aber schon darauf hingedeutet hast machen wir hier mal eine Ausnahme.

Wurden die Cracks/Patches ausgeführt?
Laut Malwarebytes schlummern diese Datei nur auf der Externen Festplatte.
Trotzdem will ich schauen ob da was läuft.

Schritt 1
OTL
Download: http://oldtimer.geekstogo.com/OTL.exe


1. Doppelklick auf die OTL.exe
2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
4. Setze einen Haken Oben bei Scanne alle Benutzer.
5. Unter "Extra Registrierung wähle "Benutze SafeList"
6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
7. Kopiere in die Textbox (ohen das Wort Code: )

Code:

netsvcs 
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

8. Klicke "Scan"
9. Es werden 2 Reporte erstellt:
10. OTL.Txt sowie Extras.Txt
Bitte beide Logs Posten!


Bei G-Data ist Version 2012 schon verfügbar. Hab sie selbst schon getestet und läuft soweit gut. Von daher rate ich dir auf Version 2012 umzusteigen. Sollte mit deiner Lizenz möglich sein. Das machen wir aber erst nach der Bereinigung.

[adlol]

Danke Leo

Cracks wurden keine ausgeführt
ich hatte die gesamte Sammlung "nur" kopiert. Danke für die Ausnahme

scan läuft

wie lange wird der scan vorrausichtlich dauern?

habe auf ein relativ großes film und musikarchiv...

[Der Leo]

Zitat:

wie lange wird der scan vorrausichtlich dauern?

Das kommt ganz auf die Menge der Daten an. Desto mehr Daten desto länger dauert der Scann. Außerdem spielt die Leistung des PC auch eine gewisse Rolle Ich schätze mal 10 Minuten oder mehr... Kannst ja mal die Zeit stoppen. Wer recht Informativ für mich

[adlol]

läuft schon seit ner halben stunde.
Habe ca 300 GB Musik sowie 1,3 TB Filme und ca 580 GB der Spiele....

edit: der Laptop hat 4 GB RAM sowie 2,2 GHz dual Core

[Der Leo]

Ja gut Bei der Menge an Daten auch kein wunder. Eine weile wird er wohl noch brauchen.

Ich würde dir für die Zukunft raten auf Cracks, Mod und Trainer zu verzichten. Besonders mit Cracks machst du dich Strafbar und gehst ein sehr hohes Risiko das du deinen PC Infiierst. Mehr als 90% der Cracks sind verseucht. Warum sollten sich Crack Autoren für ein Spiel Strafbar machen? Es dient also nur der Verbreitung von Schadsoftware.

[adlol]

ja mit den Cracks hast du recht. War ja eigentlich auch nicht gewollt so etwas rüberzukopieren.

Soweit ich das gesehen habe sind wir allerdings noch nicht bei den externen Festplatten angekommen.

[adlol]

Extras.Txt
OTL.Txt


In dem Moment der letzten Antwort waren die Scans fertig

[Der Leo]

Das sieht soweit alles gut aus.

Deinstalliere folgende Programme:

• ICQ6Toolbar
• Ask Toolbar
• Alle weiteren Toolbars die du findest

Ist dir diese Website bekannt?
Maxiwe - Deutschland
Sie ist als Startseite im Internet Explorer eingetragen
Hinweis für mitleser: Bitte diese Seite nicht aufrufen da ich das Risiko dieser Website noch nicht einschätzen kann.

Behalte bitte OTL
Starte den Rechner neu gehe wie folgt vor:

Combofix
Download: Combofix.exe

• Speicher die Combofix.exe auf dem Desktop und führe sie aus.
• User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
• Vor dem Ausführen unbedingt alle Antiviren – Antispyware- Programme deaktivieren. Dies geht meistens per rechtsklick im Systemtray.
• Doppelklick auf die Combofix.exe und befolge die Anweisungen
• Es ist möglich, dass der PC während der Bereinigung neustartet.
• Nach dem Neustart erscheint eine Textdatei. Diesen Inhalt komplett in deinem Beitrag kopieren.
• Nicht vergessen nach dem Scan alle Antiviren – Antispyware- Programme wieder zu Aktivieren.

[adlol]

Nein diese Website ist mir nicht bekannt.... zumindest nicht direkt...
Allerdings zeigt das Addons WOT (für Firefox World of Trust) an, das diese unbedenklich sei...

naja... bin zum Glück FF user

ok wie soll ich die Progs deinstallieren?
Ask war unter der Systemsteuerung gar nicht mehr zu finden... diese hatte ich schon deinstalliert. Die ICQ toolbar ist auch weg.

Frage wegen Combofix. Was ist der Systemtray?

gruß

Ich sehe gerade dass ich Combofix noch habe, da ich vor einem halben Jahr ca ein Malwareproblem hatte. Kann ich diese Version von Combofix benutzen?

[Der Leo]

Das Systemtray findest du recht unten. Dort wo auch die Uhr und das Datum ist. Bei Windows 7 müsste G-Data bei dem kleinen Pfeil nach oben sein. So kannst du G-Data deaktivieren.

Den Hinweis von Combofix das G-Data noch läuft kannst du ignorieren bzw mit OK bestätigen.